JDNet
Solutions : Quels vont être les domaines d'activités
de Trustvision ?
Régis Rocroy :
Nous allons uniquement
proposer du conseil et des services, répartis en trois
principales gammes complémentaires : la sécurisation
des infrastructures réseaux et des systèmes,
la sécurité des applications et des transactions
e-business, et enfin l'administration des architectures de
sécurité. Pour être plus précis,
la première ligne concerne la sécurité
de l'accès aux réseaux Internet, intranet et
extranet, la seconde adresse des problématiques plus
spécifiques aux portails et aux places de marché,
et la troisième permet de maintenir l'architecture
de sécurité à un niveau donné
dans le temps. Car la sécurité constitue une
activité qui se dégrade dans le temps, et c'est
pourquoi il faut la maintenir tout en surveillant son architecture.
Quel
est votre positionnement face à des acteurs comme CMG
Admiral, HSC et Integralis ?
Nous nous positionnons sur les problématiques de sécurité
qui ont un rapport avec l'e-business et le m-commerce (commerce
mobile). En comparaison, CMG Admiral est un généraliste
qui n'intervient pas que sur des problématiques de
sécurité. Integralis est un intégrateur
d'origine britannique qui a fusionné avec Artikon,
et leur approche est orientée technologie et produits.
Enfin, HSC est un cabinet indépendant en France, qui
développe une expertise et un savoir-faire
technologique mais n'accompagne pas les clients sur les projets
en matière de sécurité. En ce qui nous
concerne, nous accompagnons le client de façon complète
sur son projet, ce qui suppose une analyse des risques, une
assistance dans l'élaboration de la politique de sécurité,
la mise en place des architectures adéquates et enfin
le contrôle sécurité.
Intervenez-vous
aussi sur les risques internes à l'entreprise ?
Et sur les risques physiques qui font partie du domaine d'application
d'une politique de sécurité globale ?
La demande ne se porte pas sur la sécurité interne,
sauf peut-être dans le contexte de la mise en place
d'un portail. Ceci dit, nous couvrons tous les actes de malveillance
qu'ils soient internes ou externes. Mais nous ne traitons
pas les risques physiques dus par exemple aux catastrophes
naturelles, à des grèves ou à des pannes
d'électricité.
Même si nous intervenons rarement dans ce contexte,
nous pouvons aussi aborder les aspects techniques en interne.
Mais la meilleure réponse dans ce domaine reste la
sensibilisation et non la technologie. Quel que soit le système
de sécurité mis en place, un employé
qui veut nuire peut facilement le contourner. Et la réponse
est rarement technologique. Bien sûr, il est possible
de contrôler comment les employés utilisent les
ressources informatiques, mais il faut d'abord traiter les
vulnérabilités humaines. Aujourd'hui, sur le
marché, il existe des sociétés spécialisées
comme XP Conseil qui travaillent sur les aspects liés
à la sensibilisation des individus. Et la prise en
compte des facteurs psychologiques intervient en continuité
avec nos services.
En
matière d'externalisation par exemple, quels sont les
garanties que vous apportez sur votre fiabilité ?
Il existe une différence entre l'externalisation, qui
consiste à confier ses systèmes de sécurité
à un prestataire, et la démarche de s'attacher
les services d'une société comme nous, spécialisée
dans la sécurité. Concernant notre fiabilité,
l'équipe de Trustvision est composée de personnes
connues sur le marché. Sur un plan déontologique,
nos spécialistes sont contraints de respecter des clauses
très fortes en matière de confidentialité,
et qui sont liées à nos prestations à
l'égard de nos clients.
Quels
besoins identifiez-vous autour du conseil en sécurité
des systèmes d'informations ?
Aujourd'hui, les besoins auxquels nous sommes le plus fréquemment
confrontés concernent la sécurité des
applications e-business. Certaines questions reviennent souvent
de la part des clients : "que dois-je faire pour pouvoir
administrer la sécurité de mes systèmes
?", "lorsque j'engage des investissements, dois-je
tout revoir au bout d'un mois ?", ou même "comment
mettre en place une politique de surveillance ?".
D'une manière générale, il faut sécuriser
(1) les accès, (2) les échanges et (3) les transactions.
Et nous avons regroupé tout cela en lignes de services
complémentaires : l'administration des architectures
de sécurité, et la sécurisation des applications
et transactions e-business.
Quelles
différences existe-t-il entre la sécurisation
des "échanges" et celle des "transactions"
?
D'abord au sujet des échanges, il s'agit d'assurer
la communication au niveau IP à travers un outil VPN
(de réseau privé virtuel) qui intègre
IPSec. Et au niveau du flux applicatif, c'est la technologie
SSL qui va prendre le relais, notamment par le recours au
protocole Https.
Ensuite intervient la notion de transaction, qui suppose celle
de requête/réponse en temps réel, et consiste
pour l'utilisateur à remplir un formulaire et à
le faire valider au sein d'un processus. Typiquement, la demande
la plus courante ici sera d'assurer l'authenticité
et la non répudiation d'un formulaire, notamment par
un procédé de signature électronique.
Infrastructure
PKI, carte bancaire, token... quel est selon vous le meilleur
moyen d'authentification ?
L'infrastructure PKI ne fournit pas un service de sécurité
mais gère les clefs et les certificats. Pour signer
un formulaires, d'autres technologies sont fournies par des
acteurs différents, comme Celocom, racheté par
Gemplus, l'éditeur européen d'origine allemande
Utimaco, et la société belge Ubizen. Ces éditeurs
fournissent des technologies modulaires de signature qui s'appuient
sur un PKI, et ce n'est pas le PKI qui permet la signature
mais ce composant spécifique.
Si
les fournisseurs sont différents à chaque fois,
ne pensez-vous pas qu'il soit compliqué de mettre en
oeuvre un système d'authentification complet ?
En effet, aujourd'hui, les clients se montrent le plus souvent
totalement perdus face à ces technologies différentes
et complémentaires. Et nous venons avec ce souci d'apporter
une vision globale de la sécurité, qui permette
au client de investir de façon plus cohérente
et efficace.
L'intégration
d'une infrastructure PKI peut s'avérer très
laborieuse. Quelles solutions apportez-vous ?
Nous retrouvons les PKI à la fois au niveau de la sécurisation
des applications et des transactions. Aujourd'hui, l'intégration
de ce type d'infrastructure peut s'avérer très
coûteuse pour l'entreprise, aussi bien en terme de conception
que de mise en oeuvre. La réponse du marché
par rapport à cela réside dans la fourniture
de middleware de sécurité, qui sont des modules
simples à mettre en oeuvre s'appuyant sur les PKI.
L'application au dessus utilise le middleware de sécurité
pour chiffrer ou signer, et en dessous la PKI gère
les clefs des certificats. Ainsi, l'implémentation
dans l'entreprise s'avère beaucoup plus facile.
Selon
vous, quels budgets doivent être consacrés à
la mise en oeuvre d'une politique de sécurité
globale ?
Sur le plan financier, les ordres de grandeurs se situent
aux alentours de plusieurs millions de francs pour les grandes
entreprises. Derrière, si je devais ventiler un tel
budget, je dirais qu'il faut consacrer environ 15 % à
l'analyse de risques, 15 % à la définition
de la politique de sécurité, 50 % sur l'implémentation
de l'architecture, et 20 % sur le contrôle sécurité.
Comme nous le voyons, les coûts les plus importants
ne sont pas liés à l'acquisition des technologies,
mais plutôt à l'administration et à la
mise en oeuvre. Il suffit de regarder le salaire annuel moyen
d'un responsable de la sécurité des systèmes
d'informations, qui est compris en général entre
500 kf et un million de francs.
Quel
est le rôle du tiers de confiance et pour quelle part
compte-t-il dans le budget ?
Avec un tiers de confiance, il est possible d'externaliser
dans de bonnes conditions la gestion des clefs et des certificats.
Ces opérateurs de services apportent une réponse
lorsque la gestion des cycles de certification est confiée
à un tiers. Typiquement, il ne reste plus chez le client
que le module d'enregistrement des utilisateurs. Mais un tiers
de confiance nécessite des investissements énormes
avec des retours à calculer sur plusieurs années.
Confier la gestion de sa PKI à un tiers externe nécessite
de sa part le fait de posséder des bunkers avec de
hauts niveaux de sécurité physique et logique,
et la présence de grands acteurs sur ces technologies
pour amener la confiance.
Existe-t-il
des sociétés d'assurance spécialisées
dans le recouvrement des risques en matière de sécurité
des systèmes d'informations ?
Aujourd'hui, la question se pose en effet de la couverture
des risques d'intrusion, ou même des attaques de déni
de service par les sociétés d'assurance. En
dehors de France, il existe des réponses proposées
par des sociétés comme la Lloyd's
en Grande-Bretagne. Mais cela suppose un certain nombre de
conditions, comme le fait que l'architecture de sécurité
du client soit surveillée en 24/7. Et ici, la Lloyd's
signe un partenariat avec une société spécialisée
dans les infrastructures de sécurité, qui les
surveille en permanence. Mais en France, aucun assureur ne
propose de couvrir ce type de risques, hormis dans le domaine
des achats sur Internet mais il s'agit d'un sujet différent.
Comment
éviter l'existence larvée de failles de sécurité
lors d'un développement applicatif ?
Il existe une série de règles simples à
respecter, comme le fait de contrôler ce qui peut être
saisi dans une URL, à l'intérieur de laquelle
il est possible de faire passer des caractères erronés.
Et le simple contrôle de cette URL permet d'éviter
l'exploitation de vulnérabilités par ce biais.
Au total, une bonne vingtaine de règles doivent être
respectées au cours d'un développement applicatif.
Et avant la mise en production de l'application, il est possible
de passer en revue son code à l'aide d'outils capables
d'identifier les failles de sécurité.
Vous
citiez le m-commerce comme l'un de vos deux principaux domaines
d'intervention. Quels sont les risques majeurs liés
aux technologies mobiles ?
Les attaques peuvent être lancées sur des terminaux
mobiles, sur des cartes à puce ou des plates-formes
d'échanges. Pour chacune des cibles, les techniques
d'attaques sont différentes. Et je peux vous citer
quelques exemples de risques, comme le vol de clefs privées
directement sur le terminal, ou même la compromission
d'une passerelle de communication. En fait, nous retrouvons
toutes les problématiques que nous adressons à
travers nos trois lignes de services. Mais les risques seront
beaucoup plus importants lorsque le Wap fonctionnera sur GPRS.
Car actuellement, le Wap n'est pas mort mais n'est pas non
plus très efficace.
Voyez-vous
d'autres domaines clefs qui vont émerger en terme de
sécurité ?
A part les domaines que nous avons déjà évoqué,
ce qui me paraît important est le contrôle du
contenu des flux web et mail. Le besoin est déjà
très important aujourd'hui, et ce type de contrôle
nécessite forcément la définition d'une
politique de sécurité, liée au contexte
intranet ou extranet et aux flux en question. Or, si ce domaine
ne concerne pas l'administration de l'architecture de sécurité,
il pose d'autres problèmes notamment en terme de législation.
Il faut à la fois prendre en compte les aspects organisationnels,
humains, juridiques et techniques pour définir une
bonne politique de sécurité. Et ce sont les
domaines de compétence des responsables sécurité
dans l'entreprise.
|